Sur cette page
Exemple : Configuration d’un filtre de sortie basé sur les adresses IP source ou de destination IPv6
Cet exemple montre comment configurer un filtre de pare-feu pour accepter les paquets IPv6 sortant d’une inet6 interface.
Conditions préalables
Cette rubrique décrit une fonctionnalité prise en charge sur EX4300 et QFX5100 qui a été introduite dans Junos OS version 19.1R1. Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous allez créer un filtre de pare-feu classique pour accepter les paquets source et de destination IPv6 dans le sens sortant d’une inet6 interface. Toutefois, pour prendre en charge le filtrage dans le sens sortant, vous devez d’abord définir l’option set system packet-forwarding-options eracl-ip6-match using the srcip6-and-destip6 ou srcip6-only . Vous devrez également redémarrer le moteur de transfert de paquets (PFE) après avoir validé la configuration.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
- Configuration rapide de l’interface de ligne de commande
- Activer le système pour le filtrage d’adresses IPv6
- Appliquer le filtre de pare-feu à une interface de sortie
- Confirmez et validez la configuration de votre candidat
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6 set firewall family inet6 filter ipv6_filter term t1 from source-address 3001::10/64 set firewall family inet6 filter ipv6_filter term t1 from destination-address 2001::10/64 set interfaces ge-0/0/0 unit 0 family inet6 filter output ipv6_filter
Activer le système pour le filtrage d’adresses IPv6
Procédure étape par étape
Pour configurer un filtre de pare-feu pour le filtrage IPv6 sur une inet6 interface de sortie :
Activez les options de transfert de paquets pour la mise en correspondance sur les adresses IP source IPv6 ou IPv6 source et de destination. Dans cet exemple, nous allons activer la correspondance des adresses IP source et de destination.
[edit] user@host# set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6
Vérifiez et, le cas échéant, supprimez tous les filtres de pare-feu existants qui sont déjà liés à l’interface que vous utiliserez pour le filtre de pare-feu IPv6 :
[edit] user@host# delete interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter.
Validez les modifications ci-dessus, puis arrêtez et redémarrez le PFE pour accepter le
packet-forwarding-optionset effacez le PFE pour le(s) filtre(s) IPv6.Pour l’EX4300, procédez comme suit :
user@host# commit user@host# run request restart pfe-manager
Pour le châssis virtuel EX4300, procédez comme suit :
user@host# commit user@host# run request system reboot all-members
Pour QFX5100, redémarrez le système :
user@host# commit user@host# run request system reboot
Créez un filtre de pare-feu IPv6 nommé tcp_filter.
[edit] user@host# edit firewall family inet6 filter tcp_filter
Configurez l’action de filtrage requise, ici pour faire correspondre les paquets avec une adresse source ou de destination IPv6 dans la plage configurée.
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 from source-address 3001::10/64 user@host# set term t1 from destination-address 2001::10/64
Spécifiez que les paquets correspondants sont comptés, consignés dans la mémoire tampon du PFE et acceptés.
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 then count egress_ipv6-packets user@host# set term t1 then log user@host# set term t1 then accept
Appliquer le filtre de pare-feu à une interface de sortie
Procédure étape par étape
Pour appliquer le filtre de pare-feu à une interface inet6 sortante, tapez ce qui suit :
user@host# set interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter
Confirmez et validez la configuration de votre candidat
Procédure étape par étape
Pour confirmer, puis valider la configuration de votre candidat :
Confirmez la configuration du filtre de pare-feu en entrant la
show firewallcommande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall family inet6 { filter tcp_filter { term t1 { from { source-address 3001::10/64; destination-address 2001::10/64; } then { count egress_ipv6-packets; log; accept; } } } }Confirmez la configuration de l’interface en entrant la commande configuration
show interfacesmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { filter { output tcp_filter; } source-address 3001::10/64; destination-address 2001::10/64; } } }Lorsque vous avez terminé de configurer l’appareil, validez la configuration candidate.
[edit] user@host# commit